Niestandardowe pozyskiwanie i przekształcanie danych w Microsoft Sentinel

Azure Monitor Logs służy jako platforma danych dla Microsoft Sentinel. Wszystkie dzienniki pozyskane do Microsoft Sentinel są przechowywane w obszarze roboczym usługi Log Analytics, a zapytania dzienników zapisane w język zapytań Kusto (KQL) są używane do wykrywania zagrożeń i monitorowania aktywności sieciowej.

Usługa Log Analytics zapewnia wysoki poziom kontroli nad danymi pozyskiwanymi do obszaru roboczego za pomocą niestandardowych reguł pozyskiwania danych i zbierania danych (DCRs). Kontrolery DOMENY umożliwiają zbieranie danych i manipulowanie nimi przed ich zapisaniem w obszarze roboczym. Kontrolery DOMENY formatują i wysyłają dane zarówno do standardowych tabel usługi Log Analytics, jak i do dostosowywalnych tabel dla źródeł danych, które tworzą unikatowe formaty dzienników.

Przekształcenia filtrowania i dzielenia można stosować do danych w czasie pozyskiwania, aby zmniejszyć szum i skierować dane do odpowiedniej warstwy magazynu. Te przekształcenia nie wymagają utworzenia obiektu DCR i są definiowane na stronie zarządzania tabelami Microsoft Sentinel w portalu usługi Defender. Aby uzyskać więcej informacji, zobacz Filtrowanie i dzielenie przekształceń w Microsoft Sentinel.

narzędzia Azure Monitor do niestandardowego pozyskiwania danych w Microsoft Sentinel

Microsoft Sentinel do kontrolowania pozyskiwania danych niestandardowych używa następujących narzędzi Azure Monitor:

• Przekształcenia są definiowane w kontrolerach domeny i stosują zapytania KQL do danych przychodzących, zanim zostaną one zapisane w obszarze roboczym. Te przekształcenia mogą odfiltrować nieistotne dane, wzbogacić istniejące dane za pomocą analizy lub danych zewnętrznych albo maskować dane poufne lub osobiste.

• Interfejs API pozyskiwania dzienników umożliwia wysyłanie dzienników w formacie niestandardowym z dowolnego źródła danych do obszaru roboczego usługi Log Analytics i przechowywanie tych dzienników w niektórych standardowych tabelach lub w utworzonych tabelach w formacie niestandardowym. Masz pełną kontrolę nad tworzeniem tych tabel niestandardowych, aż do określenia nazw i typów kolumn. Interfejs API używa kontrolerów DOMENY do definiowania, konfigurowania i stosowania przekształceń do tych przepływów danych.

Uwaga

Obszary robocze usługi Log Analytics włączone dla Microsoft Sentinel nie podlegają opłatom za pozyskiwanie filtrowania w usłudze Azure Monitor, niezależnie od ilości danych filtrowanych przez przekształcenie. Jednak przekształcenia w Microsoft Sentinel w przeciwnym razie mają takie same ograniczenia jak Azure Monitor. Aby uzyskać więcej informacji, zobacz Ograniczenia i zagadnienia.

Obsługa dcr w Microsoft Sentinel

Przekształcenia czasu pozyskiwania są definiowane w regułach zbierania danych (DCRs), które kontrolują przepływ danych w usłudze Azure Monitor. Kontrolery DOMENY są używane przez łączniki Sentinel i przepływy pracy oparte na usłudze AMA przy użyciu interfejsu API pozyskiwania dzienników. Każda funkcja DCR zawiera konfigurację dla określonego scenariusza zbierania danych, a wiele łączników lub źródeł może współużytkować pojedynczą funkcję DCR.

Kontrolery DOMENY przekształcania obszaru roboczego obsługują przepływy pracy, które w przeciwnym razie nie używają kontrolerów DOMENY. Kontrolery DOMENY przekształcania obszaru roboczego zawierają przekształcenia dla wszystkich obsługiwanych tabel i są stosowane do całego ruchu wysyłanego do tej tabeli.

Więcej informacji można znaleźć w następujących artykułach:

• Przekształcenia zbierania danych w usłudze Azure Monitor
• Interfejs API pozyskiwania dzienników w dziennikach Azure Monitor
• Reguły zbierania danych w usłudze Azure Monitor

Przypadki użycia i przykładowe scenariusze

Artykuł Przykładowe przekształcenia w usłudze Azure Monitor zawiera opis i przykładowe zapytania dotyczące typowych scenariuszy korzystających z przekształceń czasu pozyskiwania w usłudze Azure Monitor. Scenariusze, które są szczególnie przydatne w przypadku Microsoft Sentinel obejmują:

• Zmniejsz koszty danych. Filtrowanie zbierania danych według wierszy lub kolumn w celu zmniejszenia kosztów pozyskiwania i magazynowania.

• Normalizowanie danych. Normalizuj dzienniki za pomocą zaawansowanego modelu informacji o zabezpieczeniach (ASIM), aby zwiększyć wydajność znormalizowanych zapytań. Aby uzyskać więcej informacji, zobacz Normalizacja czasu pozyskiwania.

• Wzbogacanie danych. Przekształcenia w czasie pozyskiwania umożliwiają ulepszanie analizy przez wzbogacanie danych o dodatkowe kolumny dodane do skonfigurowanego przekształcenia KQL. Dodatkowe kolumny mogą obejmować analizowane lub obliczone dane z istniejących kolumn.

• Usuń poufne dane. Przekształcenia w czasie pozyskiwania mogą służyć do maskowania lub usuwania danych osobowych, takich jak maskowanie wszystkich cyfr numeru ubezpieczenia społecznego lub numeru karty kredytowej oprócz ostatnich cyfr.

Przepływ pozyskiwania danych w Microsoft Sentinel

Na poniższej ilustracji przedstawiono, gdzie przekształcanie danych w czasie pozyskiwania wprowadza przepływ pozyskiwania danych w Microsoft Sentinel. Te dane mogą być obsługiwane w tabelach standardowych lub w określonym zestawie tabel niestandardowych.

Na tym obrazie przedstawiono potok chmury, który reprezentuje składnik zbierania danych Azure Monitor. Więcej informacji na ten temat oraz inne scenariusze zbierania danych można znaleźć w temacie Reguły zbierania danych (DCR) w usłudze Azure Monitor.

Microsoft Sentinel zbiera dane w obszarze roboczym usługi Log Analytics z wielu źródeł.

• Dane zebrane z punktu końcowego interfejsu API pozyskiwania dzienników lub agenta Azure Monitor (AMA) są przetwarzane przez określony kontroler DCR, który może obejmować transformację w czasie pozyskiwania.
• Dane z wbudowanych łączników danych są przetwarzane w usłudze Log Analytics przy użyciu kombinacji zakodowanych przepływów pracy i przekształceń czasu pozyskiwania w obszarze roboczym DCR.

W poniższej tabeli opisano obsługę funkcji DCR dla typów łączników danych Microsoft Sentinel:

Typ łącznika danych	Obsługa dcr
Azure monitoruj dzienniki agenta (AMA), takie jak: zdarzenia Zabezpieczenia Windows za pośrednictwem usługi AMA Zdarzenia przesyłane dalej w systemie Windows Dane CEF Dane dziennika systemowego	Co najmniej jeden kontroler domeny skojarzony z agentem
Bezpośrednie pozyskiwanie za pośrednictwem interfejsu API pozyskiwania dzienników	Dcr określony w wywołaniu interfejsu API
Wbudowany łącznik danych oparty na interfejsie API, taki jak: Łączniki danych bez kodu	Funkcja DCR utworzona dla łącznika
Połączenia oparte na ustawieniach diagnostycznych	Przekształcanie obszaru roboczego DCR z obsługiwanymi tabelami wyjściowymi
Wbudowane łączniki danych oparte na interfejsie API, takie jak: Starsze łączniki danych bez kodu łączniki danych oparte na Azure Functions	Obecnie nieobsługiwane
Wbudowane łączniki danych typu service-to-service, takie jak: Microsoft Office 365 Microsoft Entra ID Amazon S3	Funkcja DCR przekształcania obszaru roboczego dla tabel, które obsługują przekształcenia

Zawartość pokrewna

Więcej informacji można znaleźć w następujących artykułach:

• Przekształcanie lub dostosowywanie danych w czasie pozyskiwania w Microsoft Sentinel (wersja zapoznawcza)
• Filtrowanie i dzielenie przekształceń w Microsoft Sentinel
• łączniki danych Microsoft Sentinel
• Znajdowanie łącznika danych Microsoft Sentinel